기술의 핵심 원리 & 효과적인 적용 방법-1
IT환경이 급변하면서 기존의 보안체계로는 최근 새롭게 증가하는 보안위협을 효과적으로 대응할 수 없는 한계상황에 와있다. 이를 극복하기 위하여 새로운 보안기술이 제시되고 있는데 그 가운데 네트워크 접근제어(NAC, Network Access Control)가 태풍의 눈으로 급부상하고 있다.
NAC에 대한 개념과 아키텍처 표준의 진행상황을 이해함으로써, 과연 네트워크 보안의 새로운 대안이 되어줄 수 있는지 점검해 본다. 또한 시장조사 기관에서 점치는 시장전망 및 시장현황 분석결과들과 NAC를 기업에 어떻게 적용해야 효과적인지에 대해서 집중 조명했다.
끊임없이 제기된 네트워크 보안의 대안...
내부 사용자 많은 기업들 속속 구축
올해 보안시장의 최고의 화두는 뭐니뭐니해도 NAC(Network Access Control)다. 본지에서 지난달 보안 관계자를 대상으로 한 설문조사에서도 ‘현재 관심분야’와 ‘향후 화두로 부상할 것 같은 발전형 분야’모두에서 NAC가 상위에 랭크됐다. 이러한 뜨거운 반응을 반영이라도 하듯 관련 업체를 포함해 학계, 기관, 미디어 등 사회 곳곳에서 세미나와 컨퍼런스가 활발하게 진행 중에 있다. 수 백여명의 보안관리자들을 끌어모으게 하는 힘, 네트워크접근제어에 대해 알아본다.
IT환경 변화에 따른 필연적 보안 패러다임
네트워크접근제어(NAC; Network Access Control)는 네트워크에 접근하는 접속단말의 보안성을 강제화할 수 있는 보안 인프라다. 허가되지 않거나 웜ㆍ바이러스 등 악성코드에 감염된 PC나 노트북, 모바일 단말기 등이 회사 네트워크에 접속되는 것을 원천적으로 차단해 시스템 전체를 보호하는 솔루션이라 할 수 있는 것. 어쩌면 NAC는 IT환경 변화에 따른 필연적인 보안 패러다임으로 보는 것도 무리가 아니라고 판단된다.
NAC에 대한 개념을 정확히 이해하고, NAC 아키텍처 표준의 진행상황을 이해하게 되면 이해관계에 있는 보안정책담당자, 보안관련 솔루션 업체, 보안IT 투자자들이 차세대 보안 체계인 NAC을 효과적으로 설계ㆍ구축하는데 도움을 줄 수 있다.
NAC가 필요한 시대적 이유!
NAC(Network Access Control)은 “네트워크에 접근하는 접속단말의 보안성을 강제화 할 수 있는 보안 인프라(하드웨어 및 소프트웨어)”로써 다음과 같은 IT환경의 변화에 따라 더욱 필요성이 커지고 있다.
NAC 기술은 궁극적으로 확산되는 보안위협 경로를 미리 차단해 사전 방어적인 네트워크 보안체계를 구현하는 것을 목적으로 한다. 이러한 기술이 대두된 데에는 단연 네트워크 및 단말장치 기술 발전과 기업 비즈니스 환경의 확장, 그리고 공격 유형 변화 등 다변화되는 환경이 큰 몫을 차지한다.
우선, 네트워크 위협요소는 취약한 사용자에 있다. 그동안 웜, 바이러스 등 침입을 막기 위한 네트워크 보안 방식은 내·외부 네트워크 경계에서 방화벽과 침입탐지시스템(IDS), 침입방지시스템(IPS)과 같은 솔루션을 설치하는 것이었다.
하지만 발전하는 유·무선 네트워크 기술과 단말기의 다양화, 기업 비즈니스 환경의 확대 등으로 인터넷 관문에서 네트워크 침해를 막는 것에 한계가 생겼다. IT 및 보안 관리자들은 네트워크를 보호하기 위해 꾸준한 투자를 해왔음에도 유해 트래픽이 끊임없이 발생하는 상황에 직면하고 있기 때문. 특히, 무방비 상태에 있는 취약한 노트북이나 집이나 출장지 등의 원격지 컴퓨터를 이용해 기업 내부 네트워크에 접근, 물려있는 사용자단 어디에서 감염이 시작돼 확산됐는지 여부조차 파악하기 어렵게 됐다.
또, 사용자단에 안티바이러스나 개인 방화벽과 같은 보안체계를 마련한다 해도 운영체계(OS)에 적절한 보안 패치를 수행하지 않거나 보안제품을 업데이트하지 않는 등 보안관리가 취약해 공격에 이용당하는 상황이 빈번히 발생하고 있다.
최근 두드러지고 있는 공격 유형이 취약한 사용자 PC를 이용해 서버 시스템이나 네트워크를 공격하는 방식이라는 사실은 사용자단이 얼마나 보안에 취약한지 보여준다.
때문에 관리자들은 전방위 네트워크 보호를 위해 사용자단을 관리하길 원했으며, 이것이 네트워크 수준에서 이뤄지길 바라게 됐다.
ㆍ모바일 환경의 일반화 : 근무자가 이동하면서 업무를 수행하는 경우, 즉 회사 이외의 장소에서 기업내부의 네트워크를 접속하여 사용하는 경우가 늘고 있다. 외근자의 접속단말은 제대로 관리가 되지 않기 때문에 외부에서 웜ㆍ바이러스가 감염된 상태로 기업 네트워크에 다시 접속하여 기업 네트워크에 웜ㆍ바이러스를 전파하는 경우가 많다. 물론, 일부 기업에서는 출장자의 접속단말을 재 반입 시, 일일이 수작업으로 보안상태를 점검하고 치료하는 업무를 수행하지만, 이 또한 상당한 비용이 드는 일이다.
ㆍ접속단말의 다양화 : 최근에는 데스크탑 PC 외에 노트북, 팜PC, 스마트 폰, PDA 등 다양한 접속단말이 네트워크에 접속하고 있다. 스마트 폰, PDA 등에는 보안프로그램이 설치되지 않고 관리되거나 관리할 수 없는 경우가 대부분이다. 이러한 관리대상이 되지 못하는 접속단말들이 기업 네트워크에 접속하여 보안문제를 야기시키는 사례가 늘어나고 있다.
ㆍ내부 보안관리의 필요성 증가 : 현재 기업IT 보안체계는 네트워크 관문에 주로 구성되어 있다. 즉, 외부 보안위협을 차단하기 위한 목적으로 주로 운영되고 있다. 그러나 최근 보안사고의 유형을 살펴보면, 내부로부터 발생하는 보안문제의 비중이 높아지고 있음을 알 수 있다. 물론, 대부분의 기업에서는 내부 보안을 위해 각 접속단말(서버 포함)에 패치관리 시스템, 바이러스 백신 프로그램, PC 방화벽 등 단위보안 솔루션들을 각각 설치ㆍ운영하고 있으나 정상적인 운영이 되지 않거나, 기업의 보안정책을 따르지 않는 경우가 많다. 또한, 불법사용자에 대한 인증기능을 수행하지 못하고 있다.
많은 기업의 전형적인 보안 정책으로는 “운영체제의 보안 패치가 최신을 유지하는가?, 바이러스 백신 프로그램이 정상적으로 구동되는가?, 백신 업데이트가 제대로 되어있는가?, 개인 방화벽이 정확히 설정되어 운영되고 있는가?”를 확인하는 것이다. 추가로, 특정한 보안 소프트웨어 혹은 특별한 보안 설정에 대한 새로운 확인을 원할 수 있다.
베이스라인(Baseline)은 보안정책이 먼저 수립되고 나서, 네트워크에 접속하려는 접속단말의 상태가 먼저 수립된 보안정책과 일치하는지 비교하는 것이다. 이러한 절차는 접속단말의 네트워크에 연결방식과 상관하지 않고 수행되어야 한다. 즉, 안전한 네트워크를 보장하기 위하여 LAN, WAN, 무선, IPsec, SSL VPN 접속 시 베이스라인 평가가 수행되어야 한다.
이러한 베이스라인 평가 결과에 기반하여, 접근통제(Access Control)는 접속단말에 미리 정의된 수준의 네트워크 접근권한을 부여한다. 예를 들어, 베이스라인을 따르는 접속단말의 경우 전체 네트워크에 대한 접근권한을 부여할 수 있고, 베이스라인을 따르지 않은 접속단말의 경우, 네트워크 접근을 완전히 차단하거나, 치료(Mitigate)를 위한 특정 네트워크 영역으로의 접근만을 허용할 수 있다. NAC의 가치를 높이기 위해서는 이러한 치료절차는 자동화되어야 한다. 즉, 헬프데스크의 도움을 받지않고 문제가 있는 접속단말이 치료될 수 있어야 한다는 것이다.
접속단말이 상기 절차를 거쳐 네트워크에 접속한 이후에도 ‘지속적으로 보안정책을 따르는지 혹은 비정상 행태를 하지 않는지’를 지속적으로 확인하기 위한 모니터링 기술이 필요하다. 모니터링 결과, 문제가 있는 경우 네트워크 전체의 관점에서 적절한 대응을 위한 기술 및 절차가 필요하다. 예를 들어 웜ㆍ바이러스의 활동 트래픽이 발생하는 경우, 해당 접속단말을 네트워크로부터 분리하고, 액세스 스위치의 접근제어정책에 등록하여 해당 포트로의 접속을 허용치 않도록 하는 것이 필요하다.
길목부터 ‘꼼짝마’…네트워크 방어 체계 구축
NAC 보안기술에 있어 핵심은 바로 엔드포인트의 보안기술을 기존 네트워크 보안체계와 결합해 기업 전체 네트워크에 통합보안 체계를 구현하는 것이다. NAC 솔루션 기술을 적용하면 네트워크 끝단부터 사용자단까지 보안정책을 일괄 적용·관리할 수 있을까?
우선, 사용자단을 포괄한 네트워크를 통합보안해야 한다. 사용자 접속을 허가·통제하기 위해서는 먼저 사용자(PC)가 인가된 장치인지, 사용자 PC에 기업의 보안정책이 제대로 구현되어 있는지 확인할 필요가 있다. 예를 들어 PC에 보안패치나 안티바이러스가 제대로 깔려있는지 네트워크 접속 이전에 점검해야 하기 때문에 사용자단의 보안체계를 통합 관리하고 보안정책을 일괄 적용할 수 있는 조건을 제공하게 된다.
이는 네트워크 보안에서 ‘사용자 보안’의 중요성이 새삼 대두된 것을 의미한다고 볼 수 있다.
사용자단의 보안기술과 통합해 기업의 보안정책을 관리하는 이 모든 프로세스를 자동화해 시스템화 하는 것이 바로 NAC 프레임워크·아키텍처이며, 이를 구현하는 것이 NAC 솔루션이다.
또한, 사용자 인증과 무결성 검사가 핵심이다. 네트워크접근제어(NAC) 관련 기술은 최근 네트워크 액세스 콘트롤(Network Access Control)로 부르는 것이 대세가 되고 있는 추세이지만 업체마다 부르는 이름도 제각기다. 하지만, 궁극적으로는 보안위협에 대한 ‘사전 예방’과 ‘자동 대응’ 체계를 구현한다는 점에서 네트워크 업체들의 전략과 일치하게 된다. 다만, 다양한 NAC 관련 제품이 시장에 나오면서 최근에는 엔드포인트 보안기술이 보다 강조되고 폭넓게 적용·확대되고 있는 흐름을 볼 수 있다.
사용자 PC가 유·무선 랜(LAN), 가상사설망(VPN) 등을 이용해 내부 네트워크에 접속할 때 신원을 확인하는 ‘사용자 인증’과 이 PC에 운영체계 보안패치나 안티바이러스 등 보안제품을 설치했거나 업데이트했는지 확인하는 ‘무결성 체크’는 가장 핵심적인 NAC 기능이다.
물론, 초기에는 대부분의 솔루션이 무결성 체크만을 수행하는 수준이었지만 현재에는 사용자 인증도 중요한 요소로 부각되고 있다. 이렇게 PC 사용자 인증과 무결성을 확인한 후 네트워크 접근을 허용하는 NAC 기술방식은 결국 ‘누구나 접근할 수 있는’ 기존의 네트워크 관리정책을 변화시킬 수 있는 조건이 될 것으로 전망되고 있다.
현재 나와 있는 NAC 솔루션은 기존 방화벽이나 침입방지시스템(IPS)처럼 단품으로 구성되지는 않는다. 네트워크 전반을 관리하는 체계이기 때문에 사용자단과 네트워크단에 적절한 솔루션이 필요하다. 그리고 인증 및 보안정책을 관리할 수 있는 별도의 장비도 필요하다.
이러한 구성요소들은 사용자 PC에 설치된 운영체계(OS), 안티바이러스, PC 방화벽, 호스트기반 IPS(HIPS) 등과 연동해 전체 사용자 및 네트워크단의 보안정책을 정의, 생성, 탐지, 점검, 접근통제, 치료 및 교정, 재점검하는 포괄적인 네트워크 관리체계를 만들게 되고 이를 통해 기업은 보안 요구사항과 정책을 일괄적으로 사용자에게 적용하고 관리해 효율적이고 안전한 네트워크를 구현할 수 있다.
|
NAC 개념 및 동작원리 |
|
① 어떤 경로를 통해 접속했건 관계없이 사용자에 대한 인증을 수행한다.
② 사용자의 컴퓨터에 대한 무결성 검사를 수행한다(OS 패치 및 구성 정보(특히 바이러스 프로그램), 개인 방화벽 유무 등의 검사).
③ 인증 및 무결성 검사 결과를 정책 관리서버에 설정된 정책과 비교한다.
④ 인증 및 무결성 검사 결과를 바탕으로 사용자가 접근하는 대상에 관한 정책 결정을 수행한다.
⑤ 허용, 거부, 격리할 수 있는 일부 적용 장비 유형에 대한 네트워크 액세스 인증을 수행한다. 이 절차가 없다면 사용자의 트래픽을 조작할 수 있다. |
내부 사용자 많은 병원 및 공공기관 적용사례 늘어
NAC 적용방안을 놓고 내부 구성원이 다양한 대학과 병원이 가장 활발하게 도입을 추진중에 있다. 또한, 대기업 제조사와 유·무선 통신사업자, 일부 관공서와 공사들도 어떻게 NAC를 적용할 것인가를 놓고 긍정적 토의를 계속하고 있다.
이미 시만텍과 시스코 시스템즈, 쓰리콤, 지니네트웍스 등은 대학이나 병원에 솔루션을 구축한 레퍼런스를 갖고 있다. 하반기부터 사업을 본격화하고 있는 주니퍼 네트웍스도 올해 중 다른 산업군과 함께 금융권 레퍼런스를 확보하겠다는 전략적 포부를 세우고 있어, NAC 적용이 전체 산업군으로 확산되는 것은 시간문제로 보인다. 시스코 시스템즈는 올 상반기 서울대학교에 시범 구축하면서 첫 NAC 관련 레퍼런스를 확보했다.
서울대학교는 방대한 네트워크와 구성원이 있는 만큼 많은 보안사고를 경험했다. 그 중에서 2004년 마이둠 웜에 의한 피해는 매우 컸다. 무려 5,000대의 서버와 5만대 PC가 감염됐던 것. 1차로 내부감염 PC를 인터넷 관문단에서 차단한 후 추가 감염이 발생해 DNS 서버 앞단에 IPS를 긴급 투입 조치, 이후 실질적으로 발생한 대규모 공격을 막을 수 있었다.
내부보안 필요성과 문제점을 인식해 중앙집중식 보안관리 체계를 단계적으로 도입, 안티바이러스 중앙관리시스템을 먼저 구축했고 이 개념을 발전시켜 패치를 관리할 수 있는 시스템을 2005년에 도입했다. 그리고 올해, 이에 대한 완결판의 일환으로 NAC를 도입했다.
현재 NAC는 일부 구간에서 시범테스트를 수행하고 있으며, 이것이 성공적으로 완료되면 학교 전체에 보급될 것으로 예상된다. 서울대학교 행정부서인 대학본부와 기숙사, 실습실의 8000대 PC에 확대 적용하고 있다.
또, 지니네트웍스는 수원시청에도 현재 NAC 솔루션을 구축하고 있다. 이어 시청과 관할 구청·동사무소 등에 NAC 시스템이 마련될 예정이다. 한편, 트렌드마이크로와 6월부터 서울 모 대학에 구축작업을 진행하고 있으며, 대규모 기업들을 대상으로 활발한 영업을 벌이고 있다.
노양욱 지니네트웍스 과장은 “NAC 시장이 예상보다 무척 빠르게 열리고 있다”고 최근 시장 분위기를 전하면서, “공공, 제조, 대학 시장에서 연말까지 시범 구축을 포함해 향후 많은 사이트를 확보할 수 있을 것으로 예상된다”고 밝혔다.
전북대학교병원은 최근 사용자별 네트워크 접근을 통제하는 NAC시스템을 도입해 네트워크 보안 및 관리수준 효율을 극대화했다. 전북대병원은 NAC시스템을 통해 다양한 사용자 계층에 맞는 네트워크 및 클라이언트 보안을 동시에 해결, 선진 디지털병원으로서의 산업 경쟁력을 확보하게 됐다.
NAC시스템은 의사, 간호사, 의과대학, 실습생 등 다양한 계층별 사용자에 대한 보안정책을 적용, 병원에서 최적의 네트워크를 실현할 수 있도록 설계되었다는 점이 특징이다. 전북대병원은 자체 사용자 교육프로그램과 NAC를 결합해 직원들의 보안교육, 실행, 치료 등에 소요되는 인적, 물적 자원을 절감하는 효과도 올렸다.
전북대병원 관계자는 “NAC시스템 도입으로 우리 병원의 네트워크 안전망이 더욱 견고하게 구축됐다”며 “병원 내 업무 효율이 증가함은 물론, 선진 디지털 병원의 면모를 갖추게 됐다”고 말했다.
유넷시스템은 한국마이크로소프트와 컨소시엄을 이뤄 주사업자로 선정한 KTF는 디지털저작권관리(DRM) 기능강화를 시작으로 인증 통합 및 표준화, PC 보안기능 강화, 중앙관리 인프라 구축 등의 단위기능별 목표시점을 설정할 예정이다. KTF는 이 프로젝트에서 구축한 네트워크 인증 시스템을 기반으로 유ㆍ무선 네트워크 사용자에 대한 통합인증 및 네트워크 접근제어(NAC) 시스템으로 발전시킬 계획이다.
한국석유공사 역시 NAC 솔루션인 ‘지니안’을 이용해 차세대 IT자원 통합관리 시스템을 구축했다. 이 시스템은 인가되지 않은 사용자와 보안정책을 준수하지 않는 단말기의 네트워크 접속을 통제해 네트워크 장애요소 및 위협을 사전에 차단할 뿐만 아니라, 단말기들의 패치 업데이트, IP 불법도용 및 오용, 불법 소프트웨어 사용여부 등을 중앙에서 관리함으로써 IT자원관리 효율성을 높이게 됐다. 한국석유공사는 전국적인 규모의 네트워크에 전사적으로 NAC을 구축한 첫 번째 사례로 뽑힌다.
서승우 서울대 교수는 “정보보안 체계를 제대로 수립하려면 통합화와 일관화, 실시간화, 자동화 및 지능화와 함께 사전 투자 대비 사후 효과가 극대화될 수 있는 솔루션이 필요하다”며, “NAC는 이러한 요건을 충족하는 하나의 대안 솔루션이며, 네트워크 보안과 엔드포인트단 보안을 동시에 해결할 수 있는 차세대 통합보안 패러다임”이라고 말했다.
[월간 정보보호21c(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
